开发者社区> 问答> 正文

如何对项目暴露的webapi进行安全认证?

现在做的B/S项目为了提供给客户端ajax获取和提交数据的接口,加了很多webapi,只需要传递相关的参数即可获取请求结果,感觉像裸奔一样!我想给现有的项目或者刚开始的Java项目加上Http Digest认证,以保证所有访问我的webspi的请求都经过了认证,客户端和服务器端需要做哪些特殊处理呢?tomcat需要做相关的配置吗?我现在只了解Http的认证方式,但如果将其应用到项目中感觉还是一团迷雾,网上也搜不到相关的实例,哪位懂这方面的或者实践过的大虾能给我讲解一下,或者对我这种想法有什么不合理的地方也可以指出来?谢谢。

展开
收起
a123456678 2016-03-19 11:18:23 2415 0
1 条回答
写回答
取消 提交回答
  • 肯定是要带Token的,访问还是用户名密码,认证通过cookie里存的就是用户名和token,token是有有效期的,过了有效期你就需要重新分配一个token。这个暴露问题,我也不知道肿么办,不过人家要存心搞你,这些还有用么。你看Digest还不是私钥放在cookie里,虽然用算法加密一次和服务器比对,人家只需要截下你的包,把加密后的验证字符拿去验证就是了。

    2019-07-17 19:07:47
    赞同 展开评论 打赏
问答排行榜
最热
最新

相关电子书

更多
API 网关实践 立即下载
API网关实践 立即下载
一招玩转微服务注册&配置中心 立即下载